如何基于kubelet的kubeconfig鉴权拉secret

2024-07-09 77

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

本文涉及的产品

注册配置 MSE Nacos/ZooKeeper，118元/月

容器镜像服务 ACR，镜像仓库100个不限时长

性能测试 PTS，5000VUM额度

简介： 如何利用节点中kubelet的权限获取apiserver中的secret资源

鉴权原理

kubelet访问apiserver的kubeconfig权限比较智能，对于secret, 他可以读“绑定到 kubelet 节点的 Pod 相关的”资源。

参考：https://kubernetes.io/zh-cn/docs/reference/access-authn-authz/node/

节点中kubelet的客户端kubeconfig文件 --kubeconfig="/etc/kubernetes/kubelet.conf

kubelet客户端证书 --cert /var/lib/kubelet/pki/kubelet-client-current.pem --key /var/lib/kubelet/pki/kubelet-client-current.pem

访问姿势

- kubectl 使用姿势：

kubectl get secret xxxxxxx -n xxxx --kubeconfig="/etc/kubernetes/kubelet.conf"

对于imagepullsecret,可以直接在pod所在的节点中解析

kubectl get secret xxxxxxx -n xxxx --kubeconfig="/etc/kubernetes/kubelet.conf" -o jsonpath='{.data.\.dockerconfigjson}'|base64 -d

- curl使用姿势

/etc/kubernetes/kubelet.conf 中引用的是kubelet client cert/key, 也可以curl调用 ,与kubectl等效。

curl https://x.x.x.x:xx/api/v1/namespaces/default/secrets?fieldSelector=metadata.name%3Dsecret-name --cacert /etc/kubernetes/pki/ca.crt --cert /var/lib/kubelet/pki/kubelet-client-current.pem --key /var/lib/kubelet/pki/kubelet-client-current.pem

相关实践学习

通过Ingress进行灰度发布

本场景您将运行一个简单的应用，部署一个新的应用用于新的发布，并通过Ingress能力实现灰度发布。

容器应用与集群管理

欢迎来到《容器应用与集群管理》课程，本课程是“云原生容器Clouder认证“系列中的第二阶段。课程将向您介绍与容器集群相关的概念和技术，这些概念和技术可以帮助您了解阿里云容器服务ACK/ACK Serverless的使用。同时，本课程也会向您介绍可以采取的工具、方法和可操作步骤，以帮助您了解如何基于容器服务ACK Serverless构建和管理企业级应用。学习完本课程后，您将能够：掌握容器集群、容器编排的基本概念掌握Kubernetes的基础概念及核心思想掌握阿里云容器服务ACK/ACK Serverless概念及使用方法基于容器服务ACK Serverless搭建和管理企业级网站应用

如何基于kubelet的kubeconfig鉴权拉secret

鉴权原理

访问姿势

- kubectl 使用姿势：

- curl使用姿势

云原生

热门文章

最新文章

相关电子书